| Datum (Veröffentlichung) | Bußgeld in EUR | Land | Behörde |
|---|---|---|---|
| 14.12.2022 | 4.300.000 | Portugal | Comissão Nacional de Protecção de Dados |
Bußgeld gegen das Nationale Institut für Statistik (INE)
Das portugiesische Nationale Statistische Amt (INE) hat sich im Zusammenhang mit der Volkszählung 2021 fünf Ordnungswidrigkeiten gegen die DSGVO schuldig gemacht. Daraufhin wurde das INE von der portugiesischen Datenschutzbehörde (CNPD) verurteilt. Die CNPD hat eine Geldbuße in Höhe von 4,3 Millionen Euro verhängt.
Laut der Deliberation/2022/1072 hat der CNPD festgestellt, dass das Nationale Institut für Statistik (INE) personenbezogene Daten über Gesundheit und Religion unrechtmäßig verarbeitet hat. Diese Verarbeitung war ungesetzlich, da das INE seinen Pflichten zur Information der Befragten über den Fragebogen für die Volkszählung 2021 nicht nachgekommen ist. Die Befragten waren somit nicht in der Lage, ihren Willen hinsichtlich der Bereitstellung dieser besonderen Datenkategorien auszudrücken, was eine wesentliche Voraussetzung für die Rechtmäßigkeit der Verarbeitung ist.
Hintergrund der Geldstrafe
Der CNPD stellte auch fest, dass das Nationale Institut für Statistik (INE) seine Sorgfaltspflicht bei der Auswahl des Unterauftragnehmers verletzt hat. Laut Artikel 28 Absatz 3 der Datenschutz-Grundverordnung sollte die Überprüfung der Anforderungen inhaltlich und nicht formell erfolgen und sich nicht auf die Auswahl von Standardklauseln beschränken. Trotzdem schloss das INE einen Vertrag mit einem in den USA ansässigen Unternehmen, obwohl das Unternehmen auch eine Niederlassung in Lissabon hatte. Der Vertrag sieht vor, dass das Gericht von Kalifornien für die Beilegung von Streitigkeiten zuständig ist und erlaubt die Übermittlung personenbezogener Daten über einen der 200 Server des Unternehmens, wobei die Parteien davon ausgehen, dass die Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden können. Der Vertrag enthält Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in die USA. Diese Klauseln wurden von der Europäischen Kommission genehmigt. Es werden keine zusätzlichen Maßnahmen vorgesehen, um den Zugriff auf die Daten durch staatliche Stellen im Drittland im Einklang mit dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union zu sichern.
Der CNPD, die Datenschutzbehörde in Luxemburg, hat festgestellt, dass das INE, das Nationale Institut für Statistik, gegen gesetzliche Bestimmungen zur internationalen Datenübermittlung verstoßen hat. Das INE hat personenbezogene Daten an ein Unternehmen in den USA übermittelt, ohne zusätzliche Maßnahmen zum Schutz der Daten vorzusehen. Diese Maßnahmen wären notwendig gewesen, um sicherzustellen, dass die Daten vor dem Zugriff durch staatliche Stellen im Drittland geschützt sind. Der CNPD hat diese Übermittlung als verboten erklärt.
Dies verstößt gegen das Schrems-II-Urteil des Gerichtshofs der Europäischen Union, das festlegt, dass die Datenübermittlung in Drittländer, die keinen ausreichenden Schutz für personenbezogene Daten bieten, unzulässig ist, es sei denn, es gibt angemessene Garantien, um den Schutz der Daten sicherzustellen. Das INE, das Nationale Institut für Statistik, hat seiner Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung für die Volkszählung nicht nachgekommen. Eine Datenschutz-Folgenabschätzung ist ein Prozess, bei dem die Auswirkungen der Verarbeitung personenbezogener Daten auf die Rechte und Freiheiten der betroffenen Personen bewertet werden. Das Ziel einer solchen Abschätzung ist es, geeignete Maßnahmen zu treffen, um sicherzustellen, dass der Schutz dieser Daten gewahrt bleibt. Das INE hat also versäumt, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass die personenbezogenen Daten, angemessen geschützt sind.
| Quelle(n): | Pressemitteilung der CNPD |
